Полина получила спам-сообщение, которое выглядело как сексторция или мошенничество с веб-камерой.
Миллионы, возможно, миллиарды подобных писем были отправлены за эти годы, но, похоже, за последние несколько месяцев их было намного больше. Запрошенный платеж совершают лишь немногие. Однако, поскольку стоимость отправки миллионов спам-писем в основном равна нулю, даже несколько платежей - являются легкой прибылью.
Хоть игнорировать подобные спам-сообщения, как правило, безопасно, некоторые люди хотят убедительных фактов. В этом случае поможет интернет.
В чем заключается уловка?
Случайные спам-сообщения, вероятно, не имеют большого «успеха», поэтому потенциальные шантажисты пытаются персонализировать свои атаки различными способами. Наиболее распространенной является подделка электронных писем, включая пароль, весь номер телефона или его часть.
Большинство почтовых служб не имеют возможности аутентифицировать поля «от»: и «кому» в сообщениях электронной почты, поэтому спамеры могут заполнять эти поля чем угодно. Злоумышленники могут просто переписать адрес «от» так же, что и адрес «кому», поэтому может выглядеть так, как будто вы отправили электронное письмо самостоятельно. Но вы его не отправляли.
В 2012 году была представлена система под названием DMARC (проверка подлинности сообщений на основе доменов, отчетность и соответствие) для решения этой проблемы. Она помогает, но все еще используется недостаточно широко. У Dmarcian есть веб-сайт, где вы можете проверить, соответствует ли домен. (И google.com, и outlook.com имеют действительные записи.)
Британский офис по борьбе с мошенничеством предоставляет учебное пособие, помогающее предприятиям создать DMARC.
Другие версии этой фишинг-атаки составляют один из паролей получателей и / или часть номера телефона. Они, как правило, были получены в результате одного из взломов системы безопасности, которые раскрыли сведения о миллиардах пользователей. В 2017 году компания Yahoo признала, взлому данных было подвержено 3 миллиарда аккаунтов. Другими серьезными нарушениями стали Marriott International (500 миллионов клиентов), LinkedIn (164 миллиона), Adobe (153 миллиона), eBay (145 миллионов), Sony PlayStation Network (77 миллионов), Uber (57 миллионов) и Эшли Мэдисон (31 миллион).
Проверка пароля
Существует большая вероятность того, что один из ваших паролей был раскрыт в результате одного или нескольких из этих нарушений. Вы можете проверить, введя свой адрес электронной почты на веб-сайте. На момент написания этой статьи было зарегистрировано 5,7 млн. аккаунтов с 339 веб-сайтов.
Если ваш адрес электронной почты появляется в HIBP, вы должны изменить пароль, который использовали для всех пострадавших от утечки данных сайтов. Если вы использовали один и тот же пароль для любых других сайтов - очевидно, это плохая идея - вам также следует сменить пароль на этих сайтах.
Если на странице Pwned Password указано, что один из ваших паролей был раскрыт, вы также должны изменить это: вы, возможно, не были взломаны, но ваш пароль не уникален. Некоторые довольно распространены. Например, пароль «12345» был раскрыт в 2,3 млн. раз, «secret» - 221 972 раза, «god» - 32 804 раза и «arcticmonkeys» - 649 раз.
У Dashlane есть хороший веб-сайт, который расскажет вам, сколько времени потребуется, чтобы взломать ваш пароль. Однако даже надежные пароли бесполезны, если они уже появились с нарушениями.
Сообщение мошенничества
В Великобритании вы можете использовать веб-сайт Action Fraud, чтобы сообщить о попытке фишинга, если «вы не потеряли деньги или не раскрыли свои личные данные. Если вы потеряли деньги, вы должны сообщить о них как о преступлении», - говорится на сайте.
Отчет о попытках фишинга прост, но необязателен: некоторые люди получают несколько фишинговых писем в день, и они вряд ли сообщат о большинстве из них.
Сообщение о преступлении требует больше усилий, и, если вы настроены серьезно, вы должны создать учетную запись, чтобы сделать это. Вы можете подать отчет как «гость», но создание учетной записи предоставляет больше возможностей. Например, вы можете сохранять и возобновлять отчеты, обновлять их позже, вызывать Action Fraud для обсуждения вашего дела и получать отчеты о ходе работы по электронной почте.
Вы также можете сообщить о преступлениях, позвонив по номеру 0300 123 2040 в будние дни с 8:00 до 20:00. Предприятиям, благотворительным организациям и другим организациям настоятельно рекомендуется звонить по этому номеру во время кибератак в любое время.
Action Fraud (ранее Национальный центр сообщений о мошенничестве) управляется полицией Лондона и Национальным бюро разведывания мошенничества (NFIB), которое контролируется полицией города Лондон. Они не расследуют дела, но проверяют их на наличие «факторов разрешимости», таких как банковские реквизиты, номера телефонов, почтовые адреса и так далее. Если они есть, они передают их в «местную полицию или другой соответствующий правоохранительный орган».
К тому времени любые переведенные деньги, вероятно, исчезают …
Безопасность прежде всего
Лучший способ справиться с фишингом и другими спам-сообщениями - это удалить их на месте. Не открывайте их, не отвечайте на них, не открывайте документы, которые могут быть к ним прикреплены, не нажимайте на ссылки, и, безусловно, не посылайте им денег.
Многие из этих писем будут содержать прозрачное однопиксельное изображение, известное как маяк. Когда вы открываете электронную почту, она получает крошечный файл image.gif с удаленного сервера, поэтому спамеры знают, что они нашли действующий рабочий адрес электронной почты. (Примечание. Gmail и некоторые другие службы предварительно загружают изображения, чтобы избежать этой проблемы.)
Также имейте в виду, что спам и фишинг могут включать попытки заражения вашего компьютера вредоносным ПО. Вот почему вы должны постоянно обновлять антивирусное программное обеспечение и операционную систему. Это может казаться докучающим, но тысячи компьютеров были заражены вредоносными программами, такими как Stuxnet и WannaCry, спустя месяцы, а иногда и годы, после устранения уязвимостей, которые они использовали.
Перевод статьи с сайта: www.theguardian.com
Оригинальный материал по ссылке: https://www.theguardian.com/technology/askjack/2019/jan/17/phishing-email-blackmail-sextortion-webcam